Privacybeleid
Laatst bijgewerkt: 7-5-2026 · Versie Wave BL
1. Verantwoordelijke
WarmtepompKopen.nl (NB Collectief, KvK 80935656). Voor alle privacyvragen of het uitoefenen van uw AVG-rechten: privacy@warmtepompkopen.nl.
2. Welke gegevens wij verwerken — per dienst
Hieronder per dienst: wat we verzamelen, op welke grondslag (AVG art. 6), hoe lang we bewaren, en de juridische bron van die termijn.
2.1 Huischeck (gratis online rapport)
- Verzameld: postcode, woningtype, bouwjaar, gasverbruik, isolatie, optionele e-mail.
- Grondslag: AVG art. 6(1)(a) toestemming bij e-mailopgave; anders geen persoonsgegeven.
- Bewaartermijn: 24 maanden vanaf laatste interactie (AVG art. 5(1)(e)).
2.2 Persoonlijke check + uploads (energierekening, foto's)
- Verzameld: energierekening-PDF, foto's CV-ruimte/gevel, contactgegevens, adres.
- Grondslag: AVG art. 6(1)(b) overeenkomst-voorbereiding + 6(1)(a) toestemming voor uploads.
- Bewaartermijn: 90 dagen na quote-decline of laatste interactie; 7 jaar bij conversie (BW 2:10 + 3:15a, AWR art. 52).
2.3 Adviesgesprek-boeking
- Verzameld: naam, e-mail, telefoon, adres, voorkeursdatum.
- Grondslag: AVG art. 6(1)(b) overeenkomst-voorbereiding.
- Bewaartermijn: 90 dagen post-afspraak indien geen offerte volgt.
2.4 Lead-magnet — Gasvrij PDF
- Verzameld: naam, e-mail, expliciete AVG-checkbox.
- Grondslag: AVG art. 6(1)(a) toestemming voor nurture-emails.
- Bewaartermijn: 24 maanden vanaf laatste activiteit; eerder uit te schrijven via één klik in elke mail (RFC 8058 List-Unsubscribe).
2.5 Configurator + offerte-aanvraag
- Verzameld: productkeuze, capaciteit, opties, contactgegevens.
- Grondslag: AVG art. 6(1)(b) overeenkomst-voorbereiding.
- Bewaartermijn: 90 dagen ongetekend; 7 jaar getekend (BW 2:10, AWR art. 52).
2.6 Reviews
- Verzameld: naam (publiek), e-mail (privé voor verificatie), rating, reviewtekst, optionele foto.
- Grondslag: pending: AVG art. 6(1)(a) toestemming voor publicatie. Goedgekeurd: 6(1)(f) gerechtvaardigd belang in publicatie van klantfeedback.
- Bewaartermijn: pending > 30 dagen zonder moderatie wordt automatisch verwijderd. Goedgekeurde reviews blijven gepubliceerd; naam kan op verzoek geanonimiseerd worden.
2.7 Lead-administratie (overkoepelend)
- Verzameld: contactgegevens + lead-status (top-of-funnel → qualified → quoted → converted).
- Grondslag: AVG art. 6(1)(b) overeenkomst of 6(1)(a) toestemming.
- Bewaartermijn: top-of-funnel 12 mnd inactief, qualified 24 mnd inactief, lost 90 dagen, converted 7 jaar (fiscale bewaarplicht).
3. Bewaartermijnen — overzichtstabel
| Dienst | Termijn | Juridische bron |
|---|---|---|
| Huischeck | 24 mnd | AVG art. 5(1)(e) |
| Persoonlijke check (uploads) | 90 dgn / 7 jr | AVG 5(1)(e); BW 2:10, AWR 52 |
| Advies-boeking | 90 dgn | AVG 5(1)(e) |
| Lead-magnet (Gasvrij) | 24 mnd inactief | AVG art. 7(3) |
| Offerte ongetekend | 90 dgn | AVG 5(1)(e) |
| Offerte getekend | 7 jaar | BW 2:10, BW 3:15a, AWR 52 |
| Reviews pending | 30 dgn | AVG 5(1)(e) |
| Reviews goedgekeurd | Onbeperkt | AVG 6(1)(f) |
| Lead-records (converted) | 7 jaar | BW 2:10, AWR 52 |
Volledig retentieregister met deletion-mechanismen: docs/avg/data-retention.md.
4. Cookies + analytics
Wij gebruiken alleen functionele cookies om de site te laten werken. Analytics (Google Analytics 4 via GTM, en Vercel Web Analytics) laden uitsluitend nadat u toestemming heeft gegeven. Marketing-cookies zijn momenteel niet actief. Volledig overzicht en uw cookiekeuze: cookiebeleid.
5. Derden (sub-verwerkers)
- Supabase (database + auth) — EU-region. Verwerkersovereenkomst (DPA) actief.
- Vercel (hosting + edge) — EU-region. DPA actief; Standard Contractual Clauses voor eventuele incidenteel US-routing.
- Resend (transactionele e-mail). DPA actief.
- Google Analytics 4 / GTM — alleen na consent; IP-truncatie aan; ga4-property heeft "Google signals" uit.
- Sentry (server-side error tracking) — EU-region.
- Mollie (betalingen) — EU-bedrijf, eigen privacybeleid van toepassing op betaaldata.
Wij verkopen of delen uw gegevens niet met derden voor marketingdoeleinden.
6. Uw rechten (AVG art. 15-22)
U heeft het recht op:
- Inzage (art. 15) — een kopie van uw gegevens.
- Rectificatie (art. 16) — correctie van onjuiste gegevens.
- Verwijdering (art. 17) — "recht op vergetelheid", behoudens fiscale bewaarplicht (BW 2:10).
- Beperking (art. 18) en bezwaar (art. 21).
- Dataportabiliteit (art. 20) — uw gegevens in machine-leesbaar formaat.
- Toestemming intrekken (art. 7(3)) — op elk moment, zonder reden.
Uitoefenen via privacy@warmtepompkopen.nl of via ons self-service-portaal POST /api/gdpr (actie request-export, request-delete, of request-rectify). U ontvangt een bevestigingsmail met een eenmalige link (24 uur geldig) — dit voorkomt dat anderen uw data kunnen opvragen.
Wij reageren binnen 30 dagen (AVG art. 12(3)).
7. Beveiliging
HTTPS overal, TLS 1.2+, database-encryptie at rest, RLS-policies op alle Supabase-tabellen met persoonsgegevens, 2FA op admin-toegang. Datalekken worden binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens (AVG art. 33).
8. Klacht indienen
Indien u meent dat wij niet correct met uw gegevens omgaan, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.
9. Wijzigingen
Wijzigingen aan dit privacybeleid worden hier gepubliceerd; bij materiële wijzigingen sturen we proactief een bericht naar bekende lead-records.